Lnu系統(tǒng)安全配置標準V全加固技術要求——Linux服務器1.1系統(tǒng)補丁要求及時安裝系統(tǒng)補丁。更新補丁前，要求先在測試系統(tǒng)上對補丁進行可用性和兼容性驗證。系統(tǒng)補丁安裝方法為(以下示例若無特別說明，均以RedHatLinux為例)：使用up2date命令自動升級或在下載對應版本補丁手工單獨安裝。對于date1.2其他應用補丁應用(如APACHE、PHP、OPENSSL、MYSQL等)也必須安裝最新的安全補丁。tartarzxfv*.emakeinstall注意：補丁更新要慎重，可能出現(xiàn)硬件不兼容、或者影響當前應用系統(tǒng)的情況。安裝補丁前，應該在測試機上進行測試。2賬號和口令安全配置基線2.1賬號安全控制要求系統(tǒng)中的臨時測試賬號、過期無用賬號等必須被刪除或鎖定。以RedHatLinux為例，設置方法如下：鎖定賬號：/usr/sbin/usermod-L-s/dev/null$name刪除賬號：/usr/sbin/user$name要求設置口令策略以提高系統(tǒng)的安全性。例如要將口令策略設置為：非root用戶強制在90天內更該口令、之后的7天之內禁止更改口令、用戶在口令過期的28天前接受到系統(tǒng)的提示、口令的最小長度為6位。以RedHatMAXDAYSPASS_MIN_DAYS7PASSMIN_LEN6SWARNAGE2.3root登錄策略的配置要求2.4root的環(huán)境變量基線表2-1root環(huán)境變量基線設置修改文件安全設置操作說明/etc/profile地目錄(.)3網(wǎng)絡與服務安全配置標準3.1最小化啟動服務如果xinetd服務中的服務，都不需要開放，則可以直接關閉xinetd服chkconfigchkconfig--level12345xinetdoff1)如果系統(tǒng)不需要作為郵件服務器，并不需要向外面發(fā)郵件，可以直接關chkconfigchkconfig--level12345sendmailoffSendmail不運行在daemon模式。編編輯/etc/sysconfig/senmail文件，增添以下行：DAEMON=noQUEUE=1hcd/etc/sysconfig/bin/chownroot:rootsendmail/bin/chmod644sendmail3、關閉圖形登錄服務(XWindows)在不需要圖形環(huán)境進行登錄和操作的情況下，要求關閉XWindows。編輯/編輯/etc/inittab文件，修改id:5:initdefault:行為id:3:initdefault:inittababf系統(tǒng)默認會啟動很多不必要的服務，有可能造成安全隱患。建議關閉以下apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcupschkconfigchkconfiglevel2345服務名off在關閉上述服務后，應同時對這些服務在系統(tǒng)中的使用的賬號(如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid等)予以鎖定或刪除。usermodusermodL鎖定的用戶chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpopsrexecrloginrshrsyncserversservicesff對于xinet必須開放的服務，應該注意服務軟件的升級和安全配置，并推4文件與目錄安全配置4.1臨時目錄權限配置標準chmodchmod+t/tmp——為/tmp增加粘置位。4.2重要文件和目錄權限配置標準表4-1重要文件和目錄權限配置標準列表/etc/passwdootoot-rw-r--r--/etc/groupootoot-rw-r--r--/etc/hostsootoot-rw-rw-r--/etc/inittabrootRoot-rw-------4.3umask配置標準4.4SUID/SGID配置標準(組)ID，使得進程擁有了該程序的所有者(組)的特權，因而可能存在一定的安全隱患。對于這些程序，必須在全部檢查后形成基準，并定期對照基準進行。查找此類程序的命令為：D5信任主機的設置表5-1信任主機的設置方法(全局配置文件)~/.rhosts(單獨用戶的配置文1.編輯/etc/文件或者~/.rhosts文件，不能只采用主機信任的方式，而必須采用賬號和主機的方式，刪除不必要的信任主機設.更改/etc/文件的屬性，只允許ATTENTIONATTENTION:Youhaveloggedontoasecuredserver..ONLYAuthorizedusersuserscanaccess..ATTENTIONATTENTION:Youhaveloggedontoasecuredserver..ONLYAuthorizedusersuserscanaccess..KillKillHUPinetdpid”7內核參數(shù)0/bin/chownroot:root/etc//bin/chmod0600/etc/表8-1syslog日志安全配置列表配置文件中包含以下日志記錄:*.err操作說明/var/adm/errorlog*.alert/var/adm/alertlog*.cri/var/adm/cri